Cyberattaques : la France submergée, l’État dépassé

La France détient un record dont elle se passerait volontiers : selon une étude du spécialiste en cybersécurité Surfshark, 40,3 millions de comptes français ont été compromis en 2025, ce qui fait de l’Hexagone, rapporté à sa population, le pays le plus touché par les violations de données dans le monde. La densité de violations y serait 12 fois supérieure à la moyenne mondiale. Le baromètre 2026 du Forum INCYBER, adossé aux données de la CNIL, vient confirmer cette tendance : 8 613 violations de données recensées en un an, soit une hausse de 45 % sur la période. Ces chiffres ne sont pas le fruit d’une rhétorique alarmiste, ils émanent des autorités elles-mêmes.

C’est précisément ce contraste qui rend la posture de Vincent Strubel, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), difficile à tenir. Dans une interview accordée à L’Express, le responsable persiste à souligner qu’il y a « beaucoup d’exagérations » dans la perception du phénomène. Il rappelle que certains cybercriminels « font du marketing, exagèrent leurs exploits pour mettre la pression sur les victimes ». Ce point est factuel : les marchés noirs de données, à l’image du désormais démantelé BreachForums, ont effectivement hébergé des revendications frauduleuses, des recyclages de bases anciennes présentées comme fraîches, des fusions d’informations gonflées artificiellement. L’écosystème cybercriminel n’est pas avare de mise en scène.

Mais reconnaître l’existence du bluff ne suffit pas à disqualifier les chiffres. Et c’est là que le discours de l’Anssi révèle ses limites.

« Personne n’est réellement à la hauteur » de l’explosion des cyberattaques.

Cette phrase, prononcée par Vincent Strubel lui-même, dit beaucoup. En quelques mots, le directeur de l’agence censée coordonner la réponse nationale aux menaces informatiques admet une impuissance collective. Non pas la défaillance d’un acteur particulier, mais une insuffisance généralisée. L’aveu est d’autant plus notable qu’il tranche avec le ton rassurant de ses déclarations précédentes, où il invitait à « prendre du recul face aux réactions à chaud ».

🔐 Pour l'Anssi, personne n'est « à la hauteur » des cyberattaques qui frappent la France 🛡️Le dirigeant de l'agence laisse entendre que le gouvernement est dépassé par les événements 🚨 ➡️ https://t.co/kiN39oSLmY pic.twitter.com/N1LOMFNKbg

— 01net (@01net) April 12, 2026

Une vulnérabilité structurelle, pas conjoncturelle

Ce qui rend le tableau particulièrement préoccupant, c’est que les intrusions récentes dans des institutions publiques françaises ne résultent pas de techniques d’attaque sophistiquées. Le ministère de l’Intérieur, le ministère des Sports et plusieurs services publics ont été compromis de la même manière : par l’exploitation d’identifiants préalablement dérobés. Dans ces cas documentés, aucune mesure de double authentification systématique n’avait été déployée. Autrement dit, des portes avaient été laissées ouvertes, non par ignorance de l’existence de la serrure, mais par absence de décision pour l’installer.

Il ne s’agit pas ici d’une faille technique de haute volée que seule une agence d’élite aurait pu combler. Il s’agit d’une négligence dans l’application de mesures de sécurité élémentaires, connues, disponibles et accessibles. C’est ce décalage entre la connaissance du risque et l’absence de mise en œuvre qui frappe. L’Anssi produit des guides, des recommandations, des référentiels. Mais la chaîne qui va de la recommandation à l’implémentation effective dans les administrations reste manifestement défaillante.

Vincent Strubel le reconnaît implicitement lorsqu’il admet que les cybercriminels procèdent « de manière systématique » au vol de données parce que c’est « très facile et lucratif ». La facilité est le vrai problème. Non pas la sophistication des attaquants, mais la faiblesse persistante des cibles. Un environnement où le vol de données est « très facile » est un environnement qui n’a pas encore accompli les transformations nécessaires pour hausser le coût de l’attaque.

Le décalage entre la communication institutionnelle et la réalité opérationnelle

Ce qui interroge, au fond, c’est la nature du message que l’Anssi choisit de porter publiquement. Insister sur les exagérations des pirates, souligner le bluff des revendications, relativiser l’ampleur des fuites : cette ligne de communication a une cohérence défensive compréhensible. Elle évite la panique, elle prémunit contre les effets de réputation disproportionnés pour les victimes, elle rappelle que toute donnée volée n’est pas nécessairement exploitée.

Mais elle comporte un risque symétrique : celui d’atténuer la pression sur les décideurs publics au moment précis où les chiffres militent pour une accélération des efforts. Quand la densité de violations est 12 fois supérieure à la moyenne mondiale, quand les violations augmentent de 45 % en un an, quand les ministères sont compromis par des vecteurs d’attaque basiques, le message « ne nous emballons pas » devient difficile à calibrer sans paraître déconnecté.

La déclaration selon laquelle « personne n’est réellement à la hauteur » ouvre, elle, une autre question : si le constat est partagé au sommet de l’agence compétente, quelles conséquences concrètes cela entraîne-t-il sur les priorités budgétaires, les obligations réglementaires imposées aux administrations et les mécanismes de contrôle de leur application ? C’est à cette question-là, plus qu’à la mesure exacte du bluff cybercriminel, que les chiffres de 2025 invitent désormais à répondre.

Source : 01net.com